DoT, DoH und DNSSEC: Sichere DNS-Kommunikation

Das Wichtigste in Kürze

Das Domain Name System ist eine Schlüsselkomponente des Internets und ermöglicht es für Internetdienste und Webseiten einfach zu merkenden Domänen-Namen wie www.unibe.ch zu verwenden. Im Bestreben die Sicherheit des Systems weiter zu erhöhen, wurden DoT ("DNS over TLS") und DoH ("DNS over HTTPS") addiert, womit die Kommunikation zwischen Endgerät und DNS-Server verschlüsselt werden kann.

Bei DNSSEC überprüft der DNS-Server die Echtheit und Integrität eines DNS-Eintrages und liefert dem Endgerät nur sichere DNS-Einträge aus.

Bei DoT und DoH wird die Kommunikation zwischen Endgerät und DNS-Server verschlüsselt, sodass ein Abhören und Verändern der DNS-Nachrichten auf der "letzten Meile" verunmöglicht wird. Eine Überprüfung auf Echtheit und Integrität findet dabei nicht statt. 

Nutzen von DoT, DoH und DNSSEC

Die Absicherung des Domain Name System (DNS) gegen Hacker-Angriffe ist ein wesentlicher Bestandteil, um das Internet als Ganzes sicherer zu machen. Im Jahre 2005 wurde der erste grosse Schritt in diese Richtung unternommen und DNS um die Domain Name System Security Extension (DNSSEC) erweitert. 

Mit DNSSEC ist es möglich zu erkennen, ob ein DNS-Eintrag während der Übertragung verändert wurde. Dadurch werden Angriffe, bei welchen DNS-Abfragen verändert und Benutzer auf gefälschte Webseiten umgeleitet werden, verunmöglicht. Zu beachten gilt es, dass der Schutz nur bei DNS-Zonen funktioniert, die DNSSEC aktiviert haben. 

Da bei DNSSEC die Kommunikation zwischen DNS-Server und Endgerät nicht verschlüsselt wird, können Netzwerkbetreiber und Internet-Provider die in den DNS-Abfragen enthaltenen Informationen einsehen. Im ungünstigsten Fall können diese Informationen dazu verwendet werden Verhaltensprofile zu erstellen, welche wiederum für Werbezwecke verkauft werden können. DoT resp. DoH verhindern dies, indem die Kommunikation zwischen DNS-Server und Endgerät verschlüsselt wird und für Dritte nicht mehr einsehbar ist.

DoT resp. DoH ist somit als weitere Massnahme zusätzlich zu DNSSEC zu sehen und keinesfalls als Ersatz.

DoT, DoH und DNSSEC an der Universität Bern

Wird derzeit DoT oder DoH auf einem Endgerät innerhalb des Netzwerks der Universität Bern aktiviert, werden die zentralen DNS-Server umgangen und die DNS-Anfragen direkt an DNS-Server ausserhalb der Universität Bern geschickt. Dadurch wird die DNS-Firewall umgangen und der zusätzliche Schutz gegen Phishing- und Malware-Webseiten nicht genutzt. Da die DNS-Server der Universität Bern auch DNSSEC unterstützen und DNS-Abfragen aus Benutzersicht anonymisiert weiterleiten, verliert man auch diesen zusätzlichen Schutz. 

Daher empfehlen die Informatikdienste, solange die zentralen DNS-Server der Universität Bern DoT resp. DoH noch nicht unterstützen, die Funktionen nicht zu verwenden. 

Sollten Sie Hilfe bei bei der Konfiguration Ihres Computers für die Verwendung der zentralen DNS-Server benötigen, finden Sie auf dem Serviceportal nützliche Anleitungen.

Unterschiede von DoT und DoH

Wie bereits erwähnt, verschlüsseln beide Methoden die Kommunikation zwischen Endgerät und DNS-Server. Der wesentliche Unterschied besteht in den verwendeten Protokollen. DoT verwendet TLS (Transport Layer Security) auf TCP-Port 853 und DoH verwendet HTTPS auf TCP-Port 443.

Da HTTPS bereits fester Bestandteil von Netzwerken ist, bietet sich die Verwendung von DoH an, denn im Gegensatz zu DoT müssen keine neuen Firewall-Regeln erstellt werden. Problematisch ist allerdings, dass mit DoH in den Netzwerkdaten nicht mehr zwischen Webseiten- und DNS-Daten unterschieden werden kann. Das wiederum stellt unter anderem Firewalls, welche Sicherheitsfunktionen basierend auf DNS-Abfragen anbieten, vor neue Herausforderungen. Die Verwendung von DoT würde diese Problematik etwas entschärfen, allerdings zum Preis des Mehraufwands von Anpassungen im Netzwerk.